Weitere ähnliche Inhalte
Ähnlich wie MS Interact 2019 - Azureサービスで実現するセキュリティ全体像 (20)
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
- 12. ID・権限管理
Azure の ID 管理は Azure AD が担う
人がポータルにログインするためのID
対話的ログイン
アプリケーションがAzureに
アクセスするためのID
非対話ログイン
サービスプリンシパル
アプリケーションID
シークレットキー/認証鍵
マネージドID
ユーザー アプリケーション
- 14. ID・権限管理
マネージドIDに対応しているサービス
マネージドIDが使えるサービスは拡大中
アクセス元 アクセス先(Azure AD 認証)
サービス Azure VM
Azure VMSS
Azure App Service
Azure Blueprint*
Azure Functions
Azure Logic Apps*
Azure Data Factory v2
Azure API Management
Azure Container Instances*
Azure Key Vault
Azure Data Lake
Azure SQL
Azure Event Hubs*
Azure Service Bus*
Azure BLOB/キュー
Azure Analysis Services
出典)https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-
resources/services-support-managed-identities
*プレビュー
- 16. Azure AD 管理者ロール
ディレクトリ内の Azure AD リソースの管理
ユーザーの作成や編集、ディレクトリ管理ロールの割り当て
パスワードのリセット、etc…
Azure RBAC (Role-based Access Control)
Azureリソースマネージャー上の権限管理の仕組み
Azure リソースに対するアクセス管理を提供する
ID・権限管理
Azure リソースに関する権限は RBAC を使う
Azure AD と Azure サブスクリプションの権限は別物
- 29. ネットワーク管理
PaaS 環境との接続
PaaS へのアクセス制限には以下の3つの手段がある
サービスエンドポイントで特定のVNETに制限する:おすすめ!
VNET内にリソースを作成する:ブルジョア向け
IPファイアウォール:アクセス元でパブリックIPアドレスが必要
サービスによって対応している機能が異なるため確認すること
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-service-endpoints-overview
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-for-azure-services
サービスエンドポイント VNET内にリソースを作成 IPファイアウォール
特徴 NSGで通信許可も必要なので注意 ブルジョア向け。PaaSごとに必須の
Inbound/Outbound通信要件は開けておく
アクセス元でパブリックIPが必要
対応
サービス
Azure Storage
Azure SQL Database
Azure Database for xxx
Azure Cosmos DB
Azure Key Vault
Azure Event Hubs
etc.
App Service Environment
Azure Kubernetes Service(AKS)
Azuer SQL Database(マネージドインスタンス)
Azure Cache for Redis
Azure HDInsight
etc.
Azure Storage
Azure SQL Database
Azure Database for xxx
Azure Cosmos DB
Azure Key Vault
etc.
- 32. ネットワーク管理
インターネットとの接続
Azure のネットワークは既定でインターネットと通信可能
インターネットとの境界を保護するためのサービス
DDoS Protection Application Gateway
(WAF)
Azure Firewall
説明 DDoS対策 一般的な脆弱性からWeb
アプリケーションを保護
集中型ステートフルファ
イアウォール
特徴 • Layer 3/4
(SYN/UDPフラッド、反
射攻撃等)
• Layer 7 の保護はWAF
と統合
• Layer 7
• Inbound通信の制御
(HTTP/S)
• Layer 3~7
• Inbound通信の制御
(Non-HTTP/S)
• Outbound通信の制御
その他
機能
• Standardプランでは利
用者ごとのトラフィック
パターンを機械学習
• L7 ロードバランサー • FQDNフィルター
• FQDN Tag
• SNAT/DNAT
- 36. データの保護
サービスごとのサーバーサイド暗号化
サービス 暗号化方法
Azure Storage Azure BLOB/Azure Files は Azure Storage Service
Encryption(SSE) により既定で暗号化される。無効化できない。
Azure VM ストレージ暗号化に加え、OSレイヤでもデータを保護するには
Azure Disk Encryption を使う。
内部的には Windows BitLocker/Linux DM-Crypt
Azure SQL
Database
Transparent Data Encryption (TDE) により既定で暗号化され
る。
Azure
Cosmos DB
既定で暗号化され、ユーザーによる制御はできない。
Azure Data
Lake
既定で暗号化される。マスター暗号化キーは Key Vault で管理。
- 37. データの保護
キーを適切に保護して管理
Azure dedicated
HSM
Azure Key Vault サービスが管理
保管 Azure Azure Azure
管理 利用者がコントールす
る(BYOK可)
利用者がコントールす
る(BYOK可)
ユーザーによるコント
ロール不可
メリット FIPS準拠のHSM(専有)
で稼働
FIPS準拠のHSMで稼働
他のAzureサービスと統
合されている
ユーザーはキー管理を
意識する必要がない
対応
サービス
Azure VMs
SQL Server in Azure
VM
Azure Disk Encryption
Azure App Service
Azure Storage
Azure SQL Database
etc.
Azure Storage
Azure SQL Database
Azure Database for xx
Azure Cosmos DB
etc.
利用者が管理 サービスが管理
- 40. 監査ログ
サインインログの取得
Azure AD サインインログを保存する
デフォルトで30日間Azureプラットフォーム上に保存される
Azure BLOB へアーカイブし、保存期間を設定する
サインイン
アーカイブ
Azure BLOB
サインインログ
Azure AD
- 51. モニタリング・ガバナンス
Azure Sentinel (プレビュー)
セキュリティ分析を提供するクラウドネイティブな SIEM
(Security Information and Event Management)
Azureによって収集されるログを人工知能を使って分析し、
脅威検出と自動応答を実現
Azure AD
Virtual Machine
Activity
Alert
Logic Apps
Cases
Log Analytics
Azure Sentinel
- 53. モニタリング・ガバナンス
Azure AD PIM (Privileged Identity Management)
「権限コントロールのガバナンス」のためのサービス
Just-in-Time 特権アクセスの提供
権限有効化の承認ワークフロー
アクセスレビュー
監査履歴
etc…